31 de diciembre de 2007

Las "líneas" de los routers Cisco

Quienes trabajamos con routers y switches Cisco estamos familiarizados con las llamadas "líneas" de acceso al dispositivo ("line" en inglés). Su conocimiento y configuración es un aspecto fundamental de la tarea del Adminstrador de dispositivos Cisco.

¿Qué líneas tiene mi dispositivo?

Las líneas del dispositivo son de dos tipos:

  • puertos seriales.
  • conexiones de red virtuales.

Para verificar cuáles son las líneas de acceso disponibles en su dispositivo puede utilizar el comando show line.

Router#show line
.Tty Typ...Tx/Rx .A Modem.Roty AccO AccI Uses Noise Overruns Int
*.0..CTY.......... - ..- ... - .. - .. - .. 0 ....0 .. 0/0 .. -
..1..AUX 9600/9600 - ..- ....- ...- .. - .. 0 ....0 .. 0/0 .. -
..2..VTY ..........- ..- ....- .. - .. - .. 0 ....0 .. 0/0 .. -
..3..VTY ..........- ..- ....- .. - .. - .. 0 ....0 .. 0/0 .. -
..4..VTY ..........- ..- ....- .. - .. - .. 0 ....0 .. 0/0 .. -
..5..VTY ..........- ..- ....- .. - .. - .. 0 ....0 .. 0/0 .. -
..6..VTY ..........- ..- ....- .. - .. - .. 0 ....0 .. 0/0 .. -

De acuerdo a lo que se muestra en esta presentación, el dispositivo cuenta con un puerto consola (CTY) actualmente en uso (lo marca el asterisco), un puerto auxiliar (AUX) y 5 puertos virtuales (VTY).

El puerto CTY

Es el que conocemos habitualmente como puerto consola. Es el que nos permite realizar la configuración del dispositivo aún cuando no exista archivo de configuración y no haya ninguna información previa.
Se trata de un puerto serie que requiere la utilización de una terminal con puerto serie conectada al puerto consola mediante un cable consola (rollover) con un adaptador DB9 o RJ45.
Este acceso debe ser adecuadamente asegurado utilizando una clave, que puede ser clave única o clave de acceso de un usuario local. Recuerde que esta clave se guarda en el archivo de configuración en texto plano, por lo que si se desea encriptar esta clave debe utilizarse el servicio de encriptación de claves de Cisco IOS.

Un ejemplo de configuración de este puerto:

Router(config)#username usuario password clave
Router(config)#line console 0
Router(config-line)#login local
Router(config-line)#loggin synchronous
Router(config-line)#exec-timeout 5 0
Router(config-line)#_

El puerto auxiliar

No todos los dispositivos están equipados con un puerto auxiliar, identificado como AUX. Este puerto puede actuar como un puerto de respaldo al puerto consola.

Originalmente esta línea ha sido integrada con el objetivo de posibilitar la conexión de un módem telefónico a través del cual es posible conectarse al dispositivo utilizando una conexión dial-up. Es un puerto serial que debe ser segurizado como tal:

Router(config)#line aux 0
Router(config-line)#password clave
Router(config-line)#login
Router(config-line)#logging synchronous
Router(config-line)#exec-timeout 5 0
Router(config-line)#_

Los puertos VTY

Se trata de un conjunto de puertos virtuales utilizados para la conexión vía telnet, SSH, http o https al dispositivo para realizar administración in band.
La mayoría de los dispositivos tienen al menos 5 puertos virtuales identificados como vty 0 a 4. Sin embargo, en la medida en que resulte necesario, se pueden general más puertos virtuales hasta completar un total de 21 líneas vty.

Un ejemplo de configuración:

Router(config)#line vty 0 4
Router(config-line)#password clave
Router(config-line)#login
Router(config-line)#logging synchronous
Router(config-line)#exec-timeout 5 0
Router(config-line)#transport input ssh
Router(config-line)#exit

Router(config)#line vty 5 20
Router(config-line)#password clave
Router(config-line)#login
Router(config-line)#logging synchronous
Router(config-line)#exec-timeout 5 0
Router(config-line)#transport input ssh
Router(config-line)#_

Conclusión

Una mala configuración de las líneas de acceso es un riesgo de seguridad importante. Estas líneas siempre deben ser configuradas adecuadamente, de acuerdo a las políticas de acceso definidas.

Por otro lado, cuando alguna de estas líneas de acceso es utilizada es posible simplemente bloquearla habilitando el requerimiento de clave pero negando la clave en esa línea. Un ejemplo, para bloquear el acceso por puerto auxiliar:

Router#config t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#line aux 0
Router(config-line)#login
Router(config-line)#no password
Router(config-line)#^Z
Router#_

También, el acceso a las líneas de terminal virtual puede ser asegurado utilizando listas de acceso estándar, limitando de esta forma las direcciones IP que podrán acceder por telnet o ssh al dispositivo:

Router#config t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#access-list 1 permit 205.7.5.0 0.0.0.7
Router(config)#line vty 0 4
Router(config-line)#access-class 1 in
Router(config-line)#^Z
Router#_

La configuración completa de todas las líneas de acceso puede verificarse al final del archivo de configuración:

Router#show running-config
Building configuration...

Current configuration : 1056 bytes
!
version 12.4
!
[se omite parcialmente información]
!
line con 0
.exec-timeout 5 0
.logging synchronous
.login local
.stopbits 1
line aux 0
.exec-timeout 5 0
.password clave
.logging synchronous
.login
.stopbits 1
line vty 0 4
.exec-timeout 5 0
.password clave
.logging synchronous
.login
line vty 5 20
.exec-timeout 5 0
.password clave
.logging synchronous
.login
!
!
end

Ir A la información sobre la Guía

¿Tenés algún tip para aportar en este tema....?
Perfecto!!!! agregá un comentario con el detalle.
Muchas gracias.
Oscar Gerometta

15 comentarios:

  1. conocia de lo de las consolas... y hay un par de comandos que no sabia que existian... estoy comenzando en esto... valiosa informacion, saludos desde panama

    ResponderEliminar
  2. Gracias por su aporte, no sabía en realidad lo del puerto auxiliar, solo el de consola, y además algunas configuraciones de timeout. Me fueron de mucha ayuda. Gracias

    ResponderEliminar
  3. Hola,
    si no tengo un puerto serial (en mi portátil, por ejemplo), ¿cómo me puedo conectarme a un router cisco en local, para configurarlo?

    Gracias
    saludos

    ResponderEliminar
  4. Hay disponible en el mercado un adaptador de puerto USB a serial DB9. En términos generales funcionan muy bien y son una excelente opción para una situación como la que planteás.

    ResponderEliminar
  5. MUY BUENOS APORTES, ESTOY COMENZANDO EN ESTO Y ME HA SERVIDO DE MUCHO GRACIAS.

    ResponderEliminar
  6. muy buen aporte !!! gracias !! d.ls.b

    ResponderEliminar
  7. gran aporte amigo... y en castellano : )

    ResponderEliminar
  8. excelente aporte, lo que si seria bueno que nos pudieras explicar a como poder reversar lo que se ha hecho, ejemplo como
    podemos reversar el ejemplo que pusiste en la conclusión?

    como deshabilitar la "enable password"

    muchas gracias..

    ResponderEliminar
    Respuestas
    1. la verdad es que no se si veras este comentario, pero tan solo basta con poner
      no enable password
      no enable secret
      y listo! habras anulado esos comandos :)

      Eliminar
    2. Suponiendo que te refieres a cómo acceder cuándo ya hay una clave configurada y no la conocer, esto está descripto como "password recovery" en la página de Cisco: http://www.cisco.com/c/en/us/support/docs/ios-nx-os-software/ios-software-releases-121-mainline/6130-index.html

      Eliminar
  9. como recien estoy comenzando gracias por los temas aportazoooooo y mas encima en español que mas puedo pedir....

    ResponderEliminar
  10. Muchas gracias por la info

    ResponderEliminar
  11. Excelente aporte.
    Tengo un Switch HP 5120-24G EI Numero de parte JE066A que quisiera accesar a el por Telnet y http y https.Muy bien explicado lo que es un CTY, AUX y VTY.
    Ahora ando buscando como poder configurarlo para que se pueda accesar.

    ResponderEliminar
    Respuestas
    1. Felipe
      La respuesta que necesitas debieras buscarla en la documentación de HP, o en su servicio de soporte técnico.

      Eliminar
    2. Gracias Oscar, saludos desde Tuxtla Gutierrez, Chiapas Mexico.

      Eliminar

Gracias por tu comentario.
En este blog los comentarios están moderados, por lo que su publicación está pendiente hasta la revisión del mismo.